OpenFlow技术及应用模式发展分析

《OpenFlow技术及应用模式发展分析》由会员分享，可在线阅读，更多相关《OpenFlow技术及应用模式发展分析（9页珍藏版）》请在装配图网上搜索。

1、OpenFlow 技术及应用模式发展分析4 月 10 日至 15 日，第 30 届 IEEE 计算机通信国际大 会 (INFOCOM 2011)在上海国际会议中心隆重举行。本次会 议吸引了国内外 1000多名计算机和通信领域的专家、学者 和企业的科研人员到场，重点围绕云计算、网络安全、数据 中心网络、移动互联网、物联网等一系列研究领域的前沿问 题进行了深入的探讨。在备受关注的现场展示环节中(Live Demo),来自清华大学信息技术研究院网络安全实验室的师 生们展示了基于OpenFlow的网络安全管理系统LiveSec,引 起了与会者的普遍关注。该系统的成功运行，是国内通信领 域的研发团队对前

2、沿技术跟踪、创新工作的完美诠释,在科 研成果转化为可用产品的道路上占据了先机。OpenFlow 扬帆起航OpenFlow 技术最早由斯坦福大学提出,旨在基于现有TCP/IP 技术条件,以创新的网络互联理念解决当前网络面对 新业务产生的种种瓶颈,已被享有声望的麻省理工科技评 论杂志评为十大未来技术。它的核心思想很简单,就是将 原本完全由交换机/路由器控制的数据包转发过程,转化为由 OpenFlow交换机(OpenFlow Switch )和控制服务器 (Controller )分别完成的独立过程。转变背后进行的实际上 是控制权的更迭：传统网络中数据包的流向是人为指定的， 虽然交换机、路由器拥有控

3、制权，却没有数据流的概念，只 进行数据包级别的交换；而在OpenFlow网络中，统一的控 制服务器取代的路由，决定了所有数据包在网络中传输路 径。 OpenFlow 交换机会在本地维护一个与转发表不同的流 表(Flow Table)，如果要转发的数据包在流表中有对应项， 则直接进行快速转发；若流表中没有此项，数据包就会被发 送到控制服务器进行传输路径的确认，再根据下发结果进行 转发。OpenFlow 网络的这个处理流程，有点类似于状态检测 防火墙中的快速路径与慢速路径的处理，只不过转发与控制 层面在物理上完全分离。这也意味着， OpenFlow 网络中的 设备能够分布部署、集中管控，使网络变为

4、软件可定义的形 态。在 OpenFlow 网络中部署一种新的路由协议或安全算法， 往往仅需要在控制服务器上撰写数百行代码。加州大学伯克 利分校的 Scott Shenker 教授对此有着很到位的评价： “OpenFlow 并不能让你做以前在网络上不能做的事情，但 它提供了一个可编程的接口，让你决定如何路由数据包、如 何实现负载均衡以及如何进行访问控制。因此，它的这种通 用性确实会促进发展。”在得到学术界的普遍认可后，工业界也开始对这项新技 术表示出浓厚的兴趣。OpenFlow已经在美国斯坦福大学、Internet2、日本的JGN2plus等多个科研机构中得到部署，网 络设备生产商思科、惠普、

5、Juniper、 NEC 等巨头也纷纷推出 了支持OpenFlow的有线和无线交换设备，而谷歌、思杰等 网络应用和业务厂商则已将 OpenFlow 技术用于其不同的产 品中。就在半个月前，以 OpenFlow 为产品核心设计理念的 初创企业 Big Switch Networks 成功完成了总额 1375 万美元 的第一轮融资，标志着资本市场对这项新技术及其发展前景 的充分认可。目前， OpenFlow 的推广组织开放网络基金会(Open Networking Foundation )的成员基本涵盖了所有网络 及互联网领域的巨头。好用才是硬道理 使用新技术的代价往往十分高昂，好在 OpenFl

6、ow 具有 足够的开放性，给在传统网络中的融合实现带来可能。清华 大学信息技术研究院网络安全实验室在本届INFOCOM大会 上现场展示的部署在清华大学信息楼内的 LiveSec 网络安全 系统，就是一个非常好的范本。该系统在传统的以太网之上， 通过无线接入技术和虚拟化技术引入了基于 OpenFlow 协议 的控制层(见图 1)，显著降低了构建成本。LiveSec 网络安全系统包含三层架构：• 以太网交换层: LiveSec 基于传统的以太网络 进行物理交换，所有的执行 OpenFlow 协议的接入设备通过 传统以太网互联。• OpenFlow 控制层: LiveSec

7、使用支持 OpenFlow 协议的虚拟交换机（Open vSwitch ）和无线路由器构成接入 网络层。OpenFlow控制层构成LiveSec的逻辑拓扑，并由 LiveSec 控制器进行集中控制。• 网络用户和服务节点: 网络用户通过无线路由 器接入，服务节点通过虚拟交换机接入。所有接入流量在接 入层受到 LiveSec 控制器的全局策略控制。基于上述架构， LiveSec 相对传统的安全部署模型具有 多重优势。首先，该系统解决了安全设备的可扩展问题。通 过全局细粒度的负载均衡， LiveSec 支持安全设备在网络的 任意位置进行增量式部署（见图 2）。新部署的节点会按照 Ope

8、nFlow协议自行入网，并自动将控制权交由LiveSec控制 器。所有的用户和服务节点均可在LiveSec网络内动态迁移, 包括无线接入和虚拟机的无缝迁移。记者在展示现场尝试进 行了基于虚拟机的服务节点动态加入网络的实验，当具有安 全检测能力的虚拟机加入网络中时，LiveSec的可视化界面 会显示出该虚拟机在网络中的拓扑及其具备的业务能力（如 杀毒功能、协议识别功能等）。LiveSec控制器会依据新增节 点的处理能力将需要安全处理的网络流量均衡到新的节点 上，从可视化界面中也可以看到新增节点引起的链路流量变 化。传统网络中，安全设备一般被部署在边缘，对进出流量 进行访问控制。这种方式虽然成熟有

9、效，对内网中的安全问 题却无能为力。LiveSec创新的交互式访问控制特性则能很 好地解决这一难题，由于系统提供了安全节点到控制器的信 息交换通路，并针对安全事件设计了一套信息交换协议， LiveSec 可以根据安全节点传来的安全事件，在用户接入层 实施访问控制。这意味着，该系统做到了全网的点到点安全 控制，任何攻击流量在不离开接入交换机的情况下就被扼杀 在萌芽状态，内网安全的顽疾可以从根本上得到解决。（见 图 3 ）在OpenFlow网络中，控制服务器管控着所有的数据流, 又能实时感知其他节点的状态，为可视化提供了足够的基 础。记者在展示中看到， LiveSec 结合 OpenFlow 协议

10、以及应 用层业务识别服务节点，将网络中所有的拓扑、流量、应用、 安全变化都按照统一格式写入中央数据库，并在动态界面中 实现了包括当前状态及历史事件回放在内的全网业务可视 化。当使用无线设备的用户通过 OpenFlow 无线路由器接入 后，立即会显示在系统的可视化界面中。该用户上网所涉及 的应用层协议，也会实时显示在用户图标一侧。当用户访问 不良网站或者进行攻击时，图标上会出现红色警示，LiveSec 也会依据安全策略在用户接入端实时阻止用户的部分或所 有流量。历史回放功能也相当实用，可以回放特定时间段内 LiveSec 的所有事件，攻击发起者包括地理位置在内的所有 信息均可以通过数据库查找获取

11、。商业模式定成败虽然 OpenFlow 网络从根本上解决了传统网络存在的很 多问题，却也因标准化过程刚刚起步，缺乏大众化的、实用 的落地方案，至今仍然多被用于各类实验性质的网络。在其 发展的道路上，势必还要经历扩大用户规模和商业模式创新 两大阶段。而纵观近年来IT行业巨头们的发展情况，缔造一 个成功的商业模式，其重要性显然远远超过了技术创新。在记者看来， LiveSec 在某些技术以外环节上的创新， 对 OpenFlow 的推广有着十分积极的意义。该系统将传统安 全网关的数据平面拓展到整个网络之中，以全网内的 OpenFlow 交换设备作为数据转发平面。并且为了保证可扩 展性并降低成本，保留了

12、传统的以太网交换设备，仅通过引 入支持OpenFlow协议的接入层网络来实现逻辑拓扑的全网 可控。这意味着，有着一定研发能力的用户可以利用廉价的 硬件平台和开源软件，自行搭建低成本的 OpenFlow 网络。 据 LiveSec 团队负责人亓亚博士介绍，该校信息楼内实验网 络的建设大量采用了传统的以太网交换机和无线接入点， OpenFlow 控制层则由运行着开源的 Open vSwitch 模块的电 脑和支持OpenFlow协议的第三方无线接入点固件DD-WRT 实现，从而建立了一个低成本、高性能的 OpenFlow 网络。未来的数据中心网络越来越趋向于由虚拟机和服务器 群所组成，数据中心的交

13、换架构则趋向扁平，使用高性能交 换机群组或 clos 网络甚至可以支持百万个节点的无阻塞互 联。在这种情况下，网络服务质量及高可用性成为用户最为 关心的问题。以 LiveSec 为代表的基于 OpenFlow 的网络操 作系统支持网络设备的分布式部署，有效避免了单点失效问 题。控制服务器的分布式部署，则可以利用分布式哈希技术 同步全网拓扑和策略。当网络出现局部故障时，系统可以利 用 OpenFlow 协议迅速构建全新的互联拓扑，甚至可以为不 同的业务和应用分别构建不同的拓扑，以满足安全和服务质 量的需求。这又是新的商业机会，试想一下，在 OpenFlow 网络的支持下，IaaS提供商可以为用户

14、交付一个独一无二的 网络，用户甚至可以自行设定数据流在本网内的路径和安全 策略，而不仅仅是几个虚拟设备的控制权。从系统实现模式的角度看， LiveSec 的模式是构建网络 操作系统（基于开源项目Nox），这个发展方向已经被许多 业内人士所认同。不管对象是桌面还是网络，操作系统存在 的根本意义都是管理设备和提供编程接口。众所周知，想发 挥一块高性能显卡的处理能力，必须先安装该硬件的驱动。 基于 OpenFlow 的网络操作系统也是如此，仍以 LiveSec 为 例，所有OpenFlow交换设备和安全服务节点都可看做网络 系统中的硬件设备，安全业务的实现则通过服务节点上的软 件完成。当新的服务节点

15、加入网络时， LiveSec 控制器首先 要知道这个节点能处理什么业务，以及如何与设备建立通信 机制，才能让安全处理的执行者和决策者有效地互动起来。 出于商业层面的考虑，这种机制的建立往往由服务提供者主 动告知控制器，需要一个与电脑安装硬件驱动十分相似的过 程。对网络管理者来说，这个步骤简化了部署及使用难度； 而对设备制造商而言，这种方式也有利于将现有针对传统网 络的产品快速移植到 OpenFlow 网络中。受当前流行的运营模式影响，基于 OpenFlow 的网络操 作系统也在加入更多的应用发行元素。当用户在控制台中添 加服务如同在 App Store 获取应用般便捷时， OpenFlow 网

16、络 的建设必然会步入高速发展阶段。实际上，这种发行模式与 当前许多云安全服务的商务模式是可以无缝对接的，为云安 全的落地提供了绝佳的渠道。以抗 DDoS 需求为例，在用户 购买对象大量地由专用设备转向清洗服务的今天，供应商可 以通过系统内置的发行体系为用户提供自助服务，然后按次 数或处理能力收取费用；用户完全不必考虑现实中令人头疼 的部署问题，只需通过“软件商店”下载安装相应服务，就 能为 OpenFlow 网络添加抗 DDoS 的能力。观点开放成就未来从 Linux 在 PC 上的发展来看，开放的思想带来技术的 飞跃。OpenFlow的开放已使得开源的网络操作系统成为可 能。可以预见，随着更

17、多的设备支持 OpenFlow 协议，其控 制器和服务软件的开发将成为新兴网络业务成败的关键。此 外，在大型企业网络和云计算数据中心中，可拓展网络架构、 虚拟交换系统、多业务管理系统等技术的不断演进亦将有力 促进基于OpenFlow的网络操作系统及其应用程序的发展。 我们构建于OpenFlow协议之上的LiveSec,已经被证实可以 使网络安全变得无限可拓展并易于管理，取得了一定的成 功。以开放为理念,我们在 LiveSec 项目中使用的系统架构 和软件代码将随后公开于清华大学网络安全实验室网站。同 时,我们也希望国内有更多的企业和学校加入到 OpenFlow 的相关研究中,为我国下一代互联网技术创新做出一份贡 献。（文/清华大学信息技术研究院院长李军、清华大学信息 技术研究院网络安全实验室LiveSec项目组）